Giờ đây, khi thấy bạn bè cùng lớp ĐH đều đã ra trường và công tác ở những vị trí quan trọng cho các công ty CNTT lớn, tôi mới thấm thía nỗi đau vì những hành động dại dột của mình. Từng là một sinh viên xuất sắc trong khoa CNTT của ĐH Bách Khoa Hà Nội, nhưng tôi đã bị nhà trường đuổi học và phải thụ án sau song sắt chỉ vì sự nông nổi và hám lợi của mình.
Tương lai rộng mở
Từ khi còn học cấp 3 của miền quê nghèo vùng Bắc bộ, tôi đã rất thích tìm hiểu về máy tính và CNTT. Với học lực sẵn có, năm 2003, tôi dễ dàng thi đỗ vào khoa CNTT của ĐH Bách Khoa Hà Nội và luôn nằm trong nhóm sinh viên có thành tích học tập cao nhất lớp.
Chuyển xuống Hà Nội trọ học, niềm đam mê máy tính của tôi như chắp thêm cánh khi được tiếp cận với dịch vụ internet giá rẻ suốt ngày đêm, không còn phải dùng đường internet chậm chạp bằng cách quay số dial-up qua điện thoại cố định như ở quê tôi nữa.
Nhờ internet, kiến thức về bảo mật và khả năng sử dụng tiếng Anh của tôi tăng lên nhanh chóng. Các môn học về mã hóa dữ liệu, lập trình hệ thống hay giải thuật toán tôi đều dễ dàng vượt qua với điểm số cao nhất lớp. Thậm chí tôi còn có thể tìm kiếm các tài liệu tự học bằng tiếng Anh mới hơn cả sách của thầy giảng trên lớp.
Với khả năng giao tiếp bằng tiếng Anh, ngay trong năm học ĐH đầu tiên, tôi đã thường xuyên tham gia vào các diễn đàn (forum) chuyên nghiên cứu về bảo mật và mạng máy tính trên internet, nơi có nhiều “cao thủ” từ các nước có nền
CNTT trên thế giới tham gia và chia sẻ kinh nghiệm.
Lạc lối
Tôi bắt đầu rời xa các bài giảng trên lớp vì thấy chúng quá thấp với kỹ năng tôi đã học được. Các bạn học cùng khoa cũng không trao đổi được nhiều với tôi vì trình độ “dưới tầm”. Tôi bỏ tiết nhiều hơn và dồn thời gian cho việc lên internet tự học.
Đến cuối năm thứ nhất, tôi đã có thể xuyên qua hệ thống bảo vệ của các website doanh nghiệp cỡ nhỏ, ít được nâng cấp bảo mật. Việc thâm nhập vào trong lõi hệ thống các website này để chỉnh sửa nội dung, sao chép cơ dữ liệu dễ như trở bàn tay đối với tôi.
Qua các diễn đàn về bảo mật, tôi được tiếp cận các khái niệm về tài khoản tín dụng và thanh toán trực tuyến trên internet, cũng như cách “bẻ khóa” hệ thống bảo mật của các website để lấy các mã số tài khoản tín dụng. Các mã tài khoản lấy trộm được, còn gọi là mã tín dụng “chùa” hoặc “CC chùa” (CC viết tắt của credit card), thường được giới hacker mũ đen sử dụng để thanh toán chi phí về các dịch vụ mạng như tên miền, hosting… nhưng cũng có một số kẻ sử dụng để trộm tiền với quy mô lớn.
Trong một lần lướt qua website bán hàng trực tuyến của một công ty có trụ sở tại Anh để tìm phần mềm mã hóa dữ liệu, tôi tình cờ phát hiện ra lỗi không hiển thị được trang web do chưa cập nhật bản vá lỗi phần mềm quản trị cơ sở dữ liệu SQL. Đây là một lỗi khá cơ bản, cho phép khai thác để xâm nhập hệ thống quản trị dữ liệu. Chỉ sau vài thao tác kỹ thuật để nâng cấp quyền quản trị, tôi như phát run khi nhìn thấy hàng loạt danh sách mã thẻ tín dụng của các khách hàng hiện ra trước mắt.
Sau khi sử dụng các mã thẻ tín dụng lấy được để thanh toán tiền mua phần mềm mã hóa dữ liệu, tôi không kìm được lòng mình khi nhìn thấy một chiếc laptop vừa ra mắt của hãng Dell. Đối với một sinh viên ở quê ra Hà Nội học như tôi, việc có được một chiếc laptop để phục vụ học tập chỉ là điều trong mơ. Ma xui quỷ khiến thế nào, tôi bấm vào nút Mua và điền địa chỉ nhận tại Hà Nội, Việt Nam.
Hai tuần sau, tôi nhận được email thông báo chiếc laptop đã được shipping (chuyển hàng) về đến sân bay Nội Bài, yêu cầu tôi mang chứng minh thư ra nhận. Tuy rất sợ bị công an phát hiện, nhưng sức hút của chiếc laptop Dell đời mới nhất có giá hơn 2.000 USD đã chiến thắng khả năng tự chủ của tôi…
Cầm chứng minh thư và bắt xe buýt ra sân bay Nội Bài, tôi vừa hồi hộp vừa run khi đến khu vực nhận đồ gửi từ nước ngoài. Khi nhân viên kiểm tra bên trong kiện hàng và cầm chứng minh thư của tôi lên đối chiếu, tim tôi gần như nhảy ra ngoài. Rất may đó chỉ là thủ tục thông thường, và nhân viên hải quan đã cho tôi nhận món hàng là chiếc laptop mới tinh.
Ngồi trên xe buýt từ sân bay Nội Bài về, tôi sung sướng đến phát điên vì ước mơ bấy lâu của mình đã trở thành sự thật, cũng như cảm thấy mình thật tài giỏi khi sử dụng trình độ công nghệ để có được “chiến lợi phẩm” đầu tiên rất quý giá. Tôi không hề biết rằng, đó cũng chính là lúc tôi đã bước chân sang một ngã rẽ lầm lạc, làm thay đổi hoàn toàn cuộc sống của mình.
Sa lầy
Tìm hiểu thêm trên các diễn đàn của hacker, tôi mới biết trò dùng mã thẻ CC chùa để “shipping” hàng về là thủ đoạn quá sơ đẳng và rất dễ bị tóm, kể cả ở Việt Nam. Các hacker mũ đen chuyên nghiệp có kinh nghiệm là khi “shipping” không bao giờ lấy quá 200 USD ở cùng một tài khoản ăn trộm để tránh bị chủ thẻ để ý. Số tiền bị trộm từ nhiều tài khoản sau đó có thể được chuyển vòng vèo qua rất nhiều hình thức để “rửa” thành tiền hợp pháp, và có hẳn những đường dây tội phạm quốc tế chuyên thực hiện những công việc này.
Tôi làm quen qua diễn đàn được với một số nhóm đối tượng người Thổ Nhĩ Kỳ chuyên “rửa tiền ảo” để chuyển những món tiền chôm được từ thẻ tín dụng chùa sang một loại tiền ảo được gọi là eGold, sau đó dùng eGold để thực hiện các giao dịch như cá cược, đánh bạc trực tuyến và chuyển tiền thắng thành tiền sạch để rút ra từ máy ATM. Sau khi thỏa thuận, tôi cung cấp mã thẻ CC chùa cho nhóm này “rửa”, và chúng ăn chia lại 20% tiền sạch vào một tài khoản Master Card tôi mở tại Việt Nam. Ngay trong lần ăn chia đầu tiên, tôi được chuyển 500 USD vào tài khoản. Trong các tuần tiếp theo, trung bình tôi nhận được khoảng 700 USD mỗi tuần cho công việc hack các website bán hàng trực tuyến và cung cấp mã thẻ tín dụng.
Tuy nhiên, sau một thời gian làm ăn với nhóm hacker người Thổ, tôi thấy mình có phần bị bóc lột khi chỉ được 20% tiền sạch. Tôi đòi hỏi mức ăn chia cao hơn nhưng chúng không chịu với lý do phải chịu nhiều rủi ro hơn. Tôi giảm dần mật độ hợp tác xuống còn một hai lần mỗi tháng và cuối cùng dừng hẳn vì không muốn bị ăn chặn quá nhiều như vậy.
Tôi tiếp tục tự tìm hiểu các hình thức mở tài khoản tiền ảo như eGold và bắt đầu hình thành quy trình rửa tiền của riêng mình. Từ các tài khoản hack được, tôi chỉ chuyển từ 100-200 USD sang eGold, sau đó dùng eGold để cá độ bóng đá. Tôi mở 2 tài khoản cá độ bóng đá khác nhau tại một nhà cái ở châu Âu và luôn đặt cửa cho cả 2 đội trong 1 trận đấu. Như vậy, tôi cá độ không thắng cũng chẳng thua, nhưng số tiền trong tài khoản thắng được đã được “làm sạch” và khó lần tìm ra nguồn gốc tiền bị lấy trộm.
Tuy nhiên, việc tôi sử dụng thẻ Master Card do tôi tự mở tại Việt Nam để nhận tiền chuyển từ tài khoản cá độ bóng đá vào vẫn tiềm ẩn rủi ro, vì tôi phải công khai danh tính mình khi mở tài khoản và rút tiền ở cột ATM. Tôi cần phải tìm ra cách nào đó để có thể rút được tiền mặt ở Việt Nam mà không bị phát hiện.
Mời các bạn đón đọc kì II ( Ngày vui ngắn chẳng găng tay) vào ngày mai